Twitterは米国時間10月28日、新しいフィッシング攻撃について、警告を発した。ユーザーに送信されてくるダイレクトメッセージのリンクをクリックすると、パスワードを盗む偽のログインページに誘導されるという。
「われわれは28日、フィッシングを試みる行為を数件確認した。奇妙な(ダイレクトメッセージ)を受信し、それをクリックしてTwitterのログインページに誘導された場合は、絶対にログインしないように」とTwitterの警告には書かれている。
Sophosのブログ投稿によると、ダイレクトメッセージは、「やあ。このサイトにいるのは君かい?『http://blogger.djh****.com』(hi. this you on here? http://blogger.djh****.com)」という内容だという。ユーザーがフィッシングサイトと知らずにアクセスしてしまうのを防ぐために、URLの一部は伏せ字になっている。
このリンクをクリックすると、ユーザーはTwitterの正式なログインページを模倣したページに誘導される。ユーザーがユーザー名とパスワードを入力すると、偽バージョンのTwitterの「Twitter is over capacity.」というメッセージが、鳥によって吊り上げられた鯨を描いた画像とともに表示される。
「わたしがこのページにアクセスすると、NetMeg99という名前のブロガーに帰属すると主張する『Blogspot.com』上の別のウェブページに飛ばされた」とSophosの研究者であるGraham Cluley氏は書いた。「NetMeg99がこのフィッシング詐欺に関与しているかどうかは定かではない。しかし、彼女のウェブページも、ある時点でユーザーの個人情報のフィッシングを試みていたと見てよい」(Cluley氏)
フィッシング攻撃に引っかかってしまった可能性がある人に対して、SophosではTwitterのパスワードをただちに変更すること、またこれと同じログイン情報を使っている他のサイトのパスワードも変更することを推奨している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。 原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」